NIS2: un’opportunità da cogliere, informandosi e formandosi

Cosa riguarda la direttiva NIS2? Quali novità introduce? Quali aziende dovranno essere conformi? Lo ha raccontato CIPS Informatica in un roadshow.

NIS2

Cosa riguarda la direttiva NIS2? Quali novità introduce rispetto all’attuale NIS? Quali aziende dovranno essere conformi? Sono solo alcune delle domande alle quali il distributore di soluzioni di sicurezza Cips Informatica ha voluto dare risposta per informare partner e clienti sulle novità che caratterizzano la nuova normativa. E lo ha voluto fare andando a raccontarle in prima persona.

A tal fine ha organizzato un roadshow strutturato in quattro tappe (Genova, Milano, Padova e Roma) e ha affidato a degli esperti il compito di approfondire a tutto tondo il tema NIS2, per quanto riguarda gli aspetti sia legali sia tecnologici. Così protagonisti dell’evento itinerante sono stati l’avvocato cassazionista Giuseppe Serafini e dai responsabili delle aziende N-able, Netalia, Netwrix e Sangfor, i quali non hanno parlato di prodotti e strategie commerciali ma hanno assunto il ruolo di consulenti, ciascuno per la parte che gli compete, in modo da chiarire tutti i tipi di impatto che avrà la NIS2 e come evitare di farsi trovare impreparati perché si potrebbero avere gravi conseguenze. E non più solo per l’entità azienda: infatti, viene introdotta la responsabilità personale. In tutte le tappe il ruolo di anfitrione è stato svolto da Alessio Pennasilico practice leader dell’information & cyber security advisory team di P4I.

Le principali caratteristiche della NIS2

Approvata il 17 gennaio del 2023, la direttiva 2022/2555, conosciuta come NIS2, dovrà essere recepita dai Paesi membri dell’UE il prossimo 17 ottobre 2024. NIS è l’acronimo di Network and Information Security mentre il numero 2 sta a indicare che si tratta di un aggiornamento della direttiva introdotta nel maggio 2018 con l’obiettivo di garantire un alto livello di sicurezza delle reti e dei sistemi informativi in tutta l’UE. L’aggiornamento si è reso necessario perché, con la progressiva evoluzione del cybercrime, la NIS, che si rivolge agli operatori di servizi essenziali affinché prevengano gli effetti dannosi causati da eventuali attacchi alle infrastrutture strategiche, ha mostrato una serie di limiti.

NIS2

La NIS2 porta notevoli cambiamenti, estendendo il campo di applicazione rispetto alla NIS e coinvolgendo un numero molto più ampio di aziende. Si prevede, per esempio, che in Italia le realtà soggette all’adeguamento alle nuove disposizioni passeranno da alcune centinaia ad alcune decine di migliaia.

Le modifiche che introduce NIS2 riguardano principalmente la gestione degli incidenti e le responsabilità del management aziendale. Le imprese saranno tenute a segnalare gli incidenti significativi entro un tempo massimo di 24 ore, includendo quelli che possono causare gravi interruzioni operative o perdite finanziarie rilevanti. Inoltre, la direttiva stabilisce chiaramente l’obbligo per il management aziendale di garantire l’implementazione e il rispetto delle normative. In caso di non conformità, sono previste sanzioni più severe, comprese multe e sospensione temporanea dalle funzioni manageriali.

Le aziende dovranno adottare misure di protezione più rigorose, tra cui politiche di analisi dei rischi, gestione degli incidenti e continuità operativa. Queste misure dovranno essere implementate da soggetti chiave, che saranno responsabili della valutazione dell’efficacia e della promozione della formazione in materia di cybersecurity.

La NIS2 si estende anche alla sicurezza della supply chain, richiedendo alle aziende di valutare le vulnerabilità dei propri fornitori e di adottare misure correttive quando necessario. Gli Stati membri devono coordinare valutazioni dei rischi per le supply chain critiche e promuovere l’adozione di misure correttive in caso di non conformità.

Un passo avanti nella cyber security europea

La NIS2 rappresenta un importante passo avanti nella cyber security europea, ponendo una maggiore enfasi sulla responsabilità individuale nel garantire la sicurezza delle reti e dei sistemi informativi. Come ha sostenuto l’avvocato Giuseppe Serafini, “viviamo un momento in cui la normazione pervade il fenomeno cibernetico perché il fenomeno cibernetico pervade la nostra vita“. La NIS2 si inserisce in un contesto normativo più ampio che include anche il Data Act, l’Artificial Intelligence Act e DORA, riflettendo l’importanza crescente della cybersecurity nella vita quotidiana e nell’economia digitale.

NIS 2

La normativa prevede che ogni Paese dell’UE istituisca un’autorità di controllo che possa richiedere audit periodici per valutare la conformità alle norme di sicurezza. Secondo Serafini, “il legislatore dell’Unione Europea ha rafforzato il concetto di governance, appuntando precisamente una responsabilità personale di chi ha la gestione dell’organizzazione“. Questo sposta la responsabilità dal piano organizzativo a quello individuale.

I fornitori di servizi IT devono essere compliant con la NIS2

La NIS2 mira anche a dotare le aziende degli strumenti adeguati per affrontare gli attacchi informatici sempre più sofisticati. Matteo Brusco, distribution manager per Italia e Spagna di N-able, ha sottolineato che “la cyber security è cambiata perché sono cambiati gli attacchi, si sono modernizzati“. In Italia, dove le PMI sono il 90% delle realtà aziendali, spesso mancano le risorse interne per gestire la cyber security, quindi, ci si affida a partner esterni. Tuttavia, questa dipendenza dai fornitori esterni comporta anche rischi, “poiché i fornitori diventano potenziali punti vulnerabili per acquisire credenziali dei dipendenti così da poter accedere alla rete aziendale”. E questo è il motivo per cui anche per i fornitori di servizi IT è previsto l’adeguamento alla NIS2.

La sicurezza non deve essere un ostacolo per la produttività

Un altro aspetto cruciale è la semplificazione della gestione della sicurezza informatica per consentire ai dipendenti di lavorare in sicurezza ovunque. Francesco Addesi, country manager di Sangfor Italia, ha sostenuto che “le tecnologie che proteggono dai rischi di sicurezza non devono diventare un ostacolo per la produttività“. L’approccio SASE (Secure Access Service Edge) unifica tecnologie come antivirus, MDR ed EDR in un’unica soluzione, facilitando la gestione dei sistemi di protezione dalle cyber minacce.

Fondamentale il risk assessment

Un’attenzione particolare è rivolta al risk assessment, come sottolinea Maurizio Taglioretti, Regional Manager SEUR di Netwrix. “È fondamentale perché non si può rendere sicuro ciò che non si conosce o non si sa di avere“. Un preciso assessment potrebbe poi anche far scoprire che parte delle richieste della NIS2 sono già implementate, soprattutto se l’azienda è certificata secondo alcuni standard di sicurezza, come per esempio ISO 27.000.

In conclusione, come ha evidenziato Taglioretti, “la NIS2 obbliga un’ampia gamma di aziende a affrontare la cyber security in modo più consapevole“. Questo rappresenta un’opportunità per i fornitori di servizi e i consulenti di cyber security, ma richiede una preparazione adeguata e di essere compliant così da sfruttare al meglio le nuove normative a vantaggio dei clienti.